VPNレビューサイトを運営する「Top10VPN」は1月15日(英国時間)、「New Protocol Vulnerabilities: CVE-2024-7595/7596 & CVE-2025-23018/23019」において、複数のトンネリングプロトコルから複数の脆弱性が発見されたと報じた。

脆弱性が存在するプロトコルは、GRE、GUE、IPv4-in-IPv6、IPv6-in-IPv6、IPv6-in-IPv4のトンネリングプロトコル。対象の脆弱性を悪用されると、トンネルを不正使用される可能性がある。

  • New Protocol Vulnerabilities: CVE-2024-7595/7596 & CVE-2025-23018/23019

    New Protocol Vulnerabilities: CVE-2024-7595/7596 & CVE-2025-23018/23019

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-7595 - GRE(Generic Routing Encapsulation)およびGRE6(RFC 2784)にパケットソースの不十分な検証の脆弱性。攻撃者は公開されたネットワークインタフェースを経由して、任意のトラフィックをルーティングできる(CVSSスコア: 不明)
  • CVE-2024-7596 - 期限切れドラフトの「汎用UDPカプセル化(GUE: Generic UDP Encapsulation)」にパケットソースの不十分な検証の脆弱性。攻撃者は公開されたネットワークインタフェースを経由して、任意のトラフィックをルーティングできる(CVSSスコア: 不明)
  • CVE-2025-23018 - IPv4-in-IPv6およびIPv6-in-IPv6トンネリング(RFC 2473)に通信チャネルソースの不適切な検証の脆弱性。攻撃者は公開されたネットワークインタフェースを経由して、任意のトラフィックをルーティングできる(CVSSスコア: 5.4)
  • CVE-2025-23019 - IPv6-in-IPv4トンネリング(RFC 4213)に通信チャネルソースの不適切な検証の脆弱性。攻撃者は公開されたネットワークインタフェースを経由して、任意のトラフィックをルーティングできる(CVSSスコア: 5.4)

影響

対象の脆弱性はネットワークプロトコルに存在する。そのため、脆弱性を含む製品情報は公開されていない。一般論として次のカテゴリーの製品が影響を受ける可能性がある。

  • VPNサーバ(DDNSを使用するルーターを含む)
  • ISP提供のホームルータ(日本ではソフトバンクのルーターが影響を受けると指摘されている)
  • コアインターネットルータ
  • モバイルネットワークゲートウェイとノード
  • CDNノード(MetaおよびTencentを含む)

Top10VPNはインターネット上に公開されたこれらデバイスのうち、約426万台が影響を受ける可能性があるとしている。影響を受けるホストの国別統計では、中国、フランス、日本、米国、ブラジルが多いとされる。

  • 影響を受けるホストの国別統計 - 引用:論文「Haunted by Legacy: Discovering and Exploiting Vulnerable Tunnelling Hosts」

    影響を受けるホストの国別統計 引用:論文「Haunted by Legacy: Discovering and Exploiting Vulnerable Tunnelling Hosts」

対策

これら脆弱性の対策として、次の2つの手法が提案されている。

  • IPsecやWireGuardなど、認証と暗号化を提供する安全なプロトコルを併用する。保護されていないパケットは破棄する
  • 入力および出力トラフィックをフィルタリングする。これはISPなどネットワーク所有者向けの対策とされ、詳細は論文の「6.2 Network Defences」から確認することができる

脆弱性の悪用は簡単と評価されている。攻撃者は偽装したトラフィックを送信することでデバイスを一方向プロキシとして利用することができる。つまり、匿名のサイバー攻撃が可能となる。

このような事態を回避するため、影響を受けるホストの管理者およびデバイスの開発者には論文を閲覧して影響を確認し、速やかに必要な対策を実施することが望まれている。